Sonntag, 13. April 2014

KW 15 
Noch etwas mehr als eine Woche bis zum Einsendeschluss unseres Wettbewerbs - jetzt mitmachen! Derweil blutet das Herz des Internets aus - eine der wichtigsten Verschlüsselungssysteme hatte einen gravierenden Fehler...
 
Das Wort der Woche:
Heartbleed





Am Montag schlug eine Bombe in der IT-Sicherheitscommunity ein: ein Team von Experten entdeckte eine riesige Sicherheitslücke in der OpenSSL Software, das von Onlinediensten weltweit benutzt wird, um die Kommunikation mit ihren Kunden zu schützen. Ein kleiner Fehler in der Programmierung führte dazu, dass ein betroffener Server auf Anfrage einen Teil seines Arbeitsspeicher ausspuckt – egal, was besagter Teil enthält, also auch Kundendaten, Passwörter, oder kryptographische Schlüssel.
Bildlich kann man sich das so vorstellen, als hätte irgendjemand in Fort Knox vergessen, ein Fenster im Erdgeschoss zu schliessen: ein Dieb muss nicht mehr die ganzen Wachen am Eingang passieren, er kann direkt hintenherum einsteigen. “Ein GAU für Web-Verschlüsselung”, nennt die Firma heise-Security den Bug, der auf den poetischen Namen “Heartbleed” getauft wurde. Ein Experte sprach dem BBC gegenüber von einer Katastrophe: “Auf einer Skala von 1 bis 10 ist das hier eine 11.”
Das dramatische an der Sache ist nicht nur, dass Angreifer mit diesem Bug die allermeisten Sicherheitsvorkehrungen ganz einfach umgehen können, sondern auch, dass er seit nun zwei Jahren auf geschätzten 2/3 aller Webservern zu finden ist. Betroffen sind auch viele sehr große Dienste, inkl. Facebook, Google, Yahoo, und sogar Onlinebanking-Dienste. Somit hätte jeder, der den Bug vor seiner Bekanntmachung entdeckt hätte, reiche Beute absahnen können. Ob jemand ihn tatsächlich ausgenutzt hat, lässt sich im Rückblick allerdings so gut wie nicht mehr sagen.
Zur Beruhigung kann ich hier anfügen, dass die allermeisten Betroffenen ihre Systeme innerhalb von 12 Stunden nach der Bekanntmachung repariert hatten. Trotzdem wird es empfohlen, seine Passwörter bei sehr wichtigen Diensten zu ändern, da wie oben erwähnt ein früherer Datenverlust nicht ausgeschlossen werden kann.
Das beängstigende an Heartbleed sind seine Ausmaße, und dass es möglich war, dass ein eigentlich sehr einfacher Fehler zwei Jahre lang in einer so zentralen Software unentdeckt bleibt. Hier war eines der Fundamente des Internets angreifbar – ein Fundament, auf dem u.a. ein großteil der Finanzwirtschaft beruht!
OpenSSL ist, wie der Name schon sagt, Open-Source. Das bedeutet, dass keine große Firma dahintersteht, die ein Heer von Entwicklern bezahlt. Stattdessen sind seine Programmierer Ehrenamtliche, die im großen und ganzen auch einen sehr guten Sicherheitsstandard aufweisen. Vielleicht sollte sich der Staat, und alle betroffenen großen Firmen, sich trotzdem mal überlegen, ob ihnen ihre Onlinesicherheit nicht vielleicht doch ein wenig mehr Unterstützung für die Arbeit von solchen Projekten wert ist. Das Internet lebt von solchen Projekten, und unsere Wirtschaft lebt vom Internet – das wäre eigentlich ein guter Grund, sich doch einmal ein wenig mehr drum zu kümmern, oder?

Daniel Vedder

4 Kommentare:

  1. Freude: Der IWF hat eine sehr wichtige Beobachtung gemacht: MIgranten eine der wichtigsten Quellen für Wirtschaftswachstum. Die xenophobe Argumentationslinie, nach der Migranten Arbeitsplätze "stehlen" oder das Sozialsystem ausnutzen, wird dadurch widerlegt, dass Migranten zu den wichtigsten Investoren unserer Zeit gehören, da sie hart arbeiten und viel konsumieren. http://www.tagesschau.de/wirtschaft/iwf-tagung102.html

    Ärger: Erdogan will nun gegen Twitter vorgehen, weil der Kurznachrichtendienst Steuern hinterzogen hätte. Ich bezweifle zwar nicht, dass Twitter Steuern hinterzieht (für ein Internetunternehmen gibt es ja genug Schlupflöcher), dennoch sind die Ambitionen Erdogans offensichtlich.

    EIn tolle Initiative: http://einstein.phys.uwm.edu/

    AntwortenLöschen
  2. Freude: Die Bundeswehr hilft bei der Vernichtung der syrischen Chemiewaffen. Die Bedenken der Linken sind unbegründet - eine pazifistischere Nutzung einer Armee ist wohl kaum möglich.

    Ärger: Die Regierung der Ukraine startet einen "Anti-Terror-Einsatz" im Osten des Landes. War das nicht die gleiche Begründung, die auch Janukowitsch für den Einsatz von Militär und Polizei nutzte?

    AntwortenLöschen
  3. Ärger: Heartbleed war definitiv der Schock der Woche - die IT-Sicherheitsblogs laufen immer noch heiß mit den Nachwirkungen...

    Freude: die Grünen setzen sich dafür ein, dass Snowden Aufenthaltserlaubnis in Deutschland kriegt. Leider zeigt sich die Regierung nicht sehr kooperativ.

    AntwortenLöschen
  4. Freude:
    in der CSU regt sich Widerstand gegen Seehofers Plan zur Rückkehr zu G8. Gerade die Jungpolitiker aus der JU wollen nicht schon wieder eine Schulreform.
    Das ist gut so. Die Schüler haben sich an G8 gewöhnt und es funktioniert. Was die Schüler am meisten stört sind die ständigen Reformen.
    Was noch mehr stört sind die Populisten von den Freien Wählern um Aiwanger. Ohne sie wäre an den Schulen Ruhe.



    Ärger: Der Bayerische Rechnungshof hat festgestellt dass Bayern mehr Geld ausgibt als einnimmt. Der Staatshaushalt hat wegen des hohen Steueraufkommen ein Rekordvolumen von über 50 Mrd. Trotzdem ist Bayern nicht in der Lage Geld zu sparen sondern gibt mehr als diese 50 Mrd. aus. Sind wir etwa auf dem Weg ein zweites Griechenland zu werden ? Spare in der Zeit, dann hast Du in der Not sagt die Oma.

    Und im übrigen bin ich der Meinung dass die Türkei nicht Mitglied der EU werden sollte

    AntwortenLöschen

CATOteam 2013
Ceterum censeo...